VAŽNO Datum načina izvršenja kao što je prethodno navedeno u ovom članku promijenio se u 9. ožujka 2021. |
Sažetak
Ako koristite zaštićene korisnike i ograničeno delegiranje na temelju resursa (RBCD), možda postoji sigurnosna slaba točka na kontrolerima domena servisa Active Directory. Dodatne informacije o sigurnosnoj ranjivosti potražite u članku CVE-2020-16996.
Poduzmi akciju Da biste zaštitili okruženje i spriječili neusiljedstvo, morate učiniti sljedeće:
|
Tempiranje ažuriranja
Ta Windows ažuriranja bit će objavljena u dvije faze:
-
Početna faza implementacije za Windows objavljena 8. prosinca 2020. ili nakon toga.
-
Faza provedbe za Windows objavljena 9. ožujka 2021.
8. prosinca 2020.: početna faza implementacije
Početna faza implementacije započinje ažuriranjem Windows objavljenim 8. prosinca 2020. i nastavlja se s Windows ažuriranjem za fazu provedbe. Ta i Windows ažuriranja mijenjaju Kerberos.
Ovo izdanje:
-
Adrese CVE-2020-16996 (onemogućeno po zadanom).
-
Dodaje podršku za vrijednost registra NonForwardableDelegation da biste omogućili zaštitu na poslužiteljima kontrolera domene servisa Active Directory. Vrijednost po zadanom ne postoji.
Ublaživanje se sastoji od instalacije Windows na svim uređajima na kojima se hostira uloga kontrolera domene servisa Active Directory i kontroleri domena samo za čitanje (RODC-ovi), a zatim omogućuju način rada za provedbu.
9. ožujka 2021.: faza provedbe
9. ožujka 2021. izdanje prelazi u fazu izvršenja. Faza provedbe nametanje promjena adrese CVE-2020-16996. Kontroleri domena servisa Active Directory sada će biti u načinu rada za provedbu, osim ako je ključ registra načina izvršenja postavljen na 1 (Onemogućeno). Ako je postavljen ključ registra načina izvršenja, postavka će biti počašćena. Da biste se postavili u način rada za provedbu, svi kontroleri domena servisa Active Directory moraju imati instalirano ažuriranje za 8. prosinca 2020. ili novije ažuriranje.
Upute za instalaciju
Prije instalacije ovog ažuriranja
Da biste primijenili ovo ažuriranje, morate imati instalirana sljedeća obavezna ažuriranja. Ako koristite Windows ažuriranje, ta će se obavezna ažuriranja automatski ponuditi po potrebi.
-
Morate imati ažuriranje SHA-2(KB4474419) koje je od 23. rujna 2019. ili novije ažuriranje SHA-2 instalirano, a zatim ponovno pokrenite uređaj prije primjene tog ažuriranja. Dodatne informacije o ažuriranjima za SHA-2 potražite u članku Preduvjeti podrške za potpisivanje koda za SHA-2 za Windows i WSUS.
-
Da biste Windows Server 2008 R2 SP1, morate imati instalirano ažuriranje servisnog stoga (SSU)(KB4490628) od 12. ožujka 2019. Nakon instalacije ažuriranja KB4490628 preporučujemo da instalirate najnovije SSU ažuriranje. Dodatne informacije o najnovijem ažuriranju SSU-a potražite u članku ADV990001 | Najnovija ažuriranja servisnog stoga.
-
Da biste Windows Server 2008 SP2, morate imati instalirano ažuriranje servisnog stoga (SSU)(KB4493730) od 9. travnja 2019. Nakon instalacije ažuriranja KB4493730 preporučujemo da instalirate najnovije SSU ažuriranje. Dodatne informacije o najnovijim ažuriranjima SSU-a potražite u članku ADV990001 | Najnovija ažuriranja servisnog stoga.
-
Korisnici moraju kupiti prošireno sigurnosno ažuriranje (ESU) za lokalne verzije sustava Windows Server 2008 SP2 ili Windows Server 2008 R2 SP1 nakon što je proširena podrška završila 14. siječnja 2020. Korisnici koji su kupili ESU moraju slijediti postupke u ažuriranju KB4522133 da bi nastavili primati sigurnosna ažuriranja. Dodatne informacije o ESU-u i podržanim izdanjima potražite u članku KB4497181.
Važno Kada instalirate ta obavezna ažuriranja, morate ponovno pokrenuti uređaj.
Instalacija ažuriranja
Da biste riješili sigurnosnu slabu točke, instalirajte Windows i omogućite način provođenja slijedeći ove korake.
Upozorenje Povremeni problemi s provjerom autentičnosti mogu se pojaviti ako se Windows ažuriranja i vrijednost registra primjenjuju nedosljedno u jednom ili oba sljedeća scenarija:
Važno I Windows ažuriranja i vrijednost registra moraju se dosljedno primjenjivati na sve kontrolere domene servisa Active Directory u vašem okruženju. |
Prvi korak: instalacija Windows ažuriranja
Instalirajte ažuriranje za Windows 8. prosinca 2020. ili novije ažuriranje Windows na sve uređaje na kojima je hostovala ulogu kontrolera domene servisa Active Directory u šumama, uključujući kontrolere domena samo za čitanje.
Windows Server product |
KB # |
Vrsta ažuriranja |
Windows Server, verzija 20H2 (instalacija sustava Server Core) |
Sigurnosno ažuriranje |
|
Windows Server, verzija 2004 (instalacija sustava Server Core) |
Sigurnosno ažuriranje |
|
Windows Server, verzija 1909 (instalacija sustava Server Core) |
Sigurnosno ažuriranje |
|
Windows Server, verzija 1903 (instalacija sustava Server Core) |
Sigurnosno ažuriranje |
|
Windows Server 2019 (instalacija sustava Server Core) |
Sigurnosno ažuriranje |
|
Windows Server 2019 |
Sigurnosno ažuriranje |
|
Windows Server 2016 (instalacija sustava Server Core) |
Sigurnosno ažuriranje |
|
Windows Server 2016 |
Sigurnosno ažuriranje |
|
Windows Server 2012 R2 (instalacija sustava Server Core) |
Mjesečno skupno ažuriranje |
|
Samo sigurnost |
||
Windows Server 2012 R2 |
Mjesečno skupno ažuriranje |
|
Samo sigurnost |
||
Windows Server 2012 (instalacija sustava Server Core) |
Mjesečno skupno ažuriranje |
|
Samo sigurnost |
||
Windows Server 2012 |
Mjesečno skupno ažuriranje |
|
Samo sigurnost |
||
Windows Server 2008 R2 Service Pack 1 |
Mjesečno skupno ažuriranje |
|
Samo sigurnost |
||
Windows Server 2008, servisni paket 2 |
Mjesečno skupno ažuriranje |
|
Samo sigurnost |
2. korak: omogućivanje načina rada za provedbu
Kada se ažuriraju svi uređaji na kojima se hosti uloga kontrolera domene servisa Active Directory, pričekajte barem cijeli dan da biste omogućili istječu svih nepodmirenih servisa za servise User to Self (S4U2self) Kerberos. Zatim omogućite potpunu zaštitu implementacijom načina rada za provedbu. Da biste to omogućili, omogućite ključ registra u načinu izvršenja.
Upozorenje Do ozbiljnih problema može doći ako nepravilno izmijenite registar pomoću uređivača registra ili pomoću drugog načina. Ti problemi mogu zahtijevati ponovnu instalaciju operacijskog sustava. Microsoft ne može jamčiti da se ti problemi mogu riješiti. Izmijenite registar na vlastitu odgovornost.
Napomena Ta se vrijednost registra ne stvara tako da instalirate ovo ažuriranje. Tu vrijednost registra morate dodati ručno.
Potključ registra |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc |
Vrijednost |
NonForwardableDelegation |
Vrsta podataka |
REG_DWORD |
Podaci |
1:Onemogućuje način izvršenja. 0: Omogućuje način rada za provedbu. To je zaštićeno stanje. |
Zadano |
1 |
Je li potrebno ponovno pokretanje? |
Ne |
Bilješke o vrijednosti registra
"NonForwardableDelegation":
-
Ako je vrijednost registra postavljena, ona će imati prednost u odnosu na postavku načina provedbe obuhvaćenu ažuriranjem 9. ožujka 2021. Windows ažuriranja.
-
Ako je vrijednost registra postavljena na 1 (Onemogući), prosljeđivanje će biti dopušteno na servisnim kartama Kerberos koje nisu označene kao prosljeđivanje.
-
Ako je vrijednost registra postavljena na 0 (Omogući), prosljeđivanje neće biti dopušteno na servisnim kartama Kerberos koje nisu označene kao prosljeđivanje.
-
-
Ako domena obuhvaća Windows Server 2008 R2 ili starije kontrolere domena servisa Active Directory, ne morate postaviti način rada za provođenje jer ti kontroleri domene ne podržavaju RBCD.
-
Neuspjelim ažuriranjem svih kontrolora domena servisa Active Directory prilikom omogućivanja načina rada za provedbu doći će do povremenih neuspjeha delegiranja servisa.
-
Prije postavljanja načina rada za provedbu:
-
Svi kontroleri domena servisa Active Directory moraju se ažurirati ažuriranjem Windows 8. prosinca 2020. ili novijim Windows i
-
Sve nepodmirene servisne karte za S4USelf Kerberos moraju isteći tako da čekaju dan nakon dovršetka implementacije ažuriranja Windows svim kontrolerima domena servisa Active Directory.
-
Dodatna razmatranja
Kada je ta zaštita omogućena, ona udoji logiku za Resource-Based ograničeno delegiranje (RBCD) s izvornim ograničenim delegiranjem. To može uzrokovati probleme u sljedeća dva scenarija:
-
Jedan servis istodobno koristi izvorni Kerberos Constrained Delegation (KCD) bez prijelaza protokola na jedan cilj dok koristi RBCD s prijelazom protokola na drugi. Nakon te promjene, odbijanje prijelaza protokola primijenit će se na oba stila delegiranja.
-
RBCD se koristi u domeni koja koristi kontrolere domena koji se ne ažuriraju pomoću funkcije CVE-2020-16996 ili sa starijim verzijama sustava Windows Server (stariji od prozora Server 2012) koje ne imaju dostupno ažuriranje za CVE-2020-16996. Ključevi za raspodjelu (KDC-ovi) koji se ne ažuriraju neće označiti S4USelf Kerberos servisne karte kao što je u redu za delegiranje i prijelaz protokola bit će odbijeni.